Als einer der Marktführer im Bereich Unified Communications wird 3CX weltweit von über 600.000 Unternehmen in 190 Ländern genutzt. Jetzt wurde das Geschäftstelefonsystem jedoch für eine Cyberattacke missbraucht, denn eine Version der VoIP-Software wurde trojanisiert.
Zur Sicherheit sollten 3CX Anwender die Desktop-App umgehend deinstallieren und sich an ihren jeweiligen Partner wenden.
Für unsere Kunden können wir jedoch erstmal Entwarnung geben, denn im Bereich Telefonsysteme arbeiten wir in Kooperation mit Placetel zusammen. Kunden, die wir bereits betreuen, sind daher von dem Angriff nicht betroffen. Solltest du trotzdem Fragen haben, kontaktiere uns doch einfach über info@wmit.biz oder telefonisch unter 02623 79956-00.
Für unsere Tekkies gibt es hier noch ein paar zusätzliche Informationen zum Cyberangriff:
Das softwarebasierte Telefonsystem ist für Windows, Linux, Android und macOS verfügbar. Bisher sind aber nur Windows- und macOS-Systeme betroffen. Es scheint sich hierbei um einen Supply-Chain-Angriff zu handeln, bei dem der Desktop-App ein Installationsprogramm hinzugefügt werden konnte. Durch die Verwendung von DLL-Sideloading ruft es somit eine schädliche, verschlüsselte Nutzlast ab.
Ende März wurden erstmals schädliche Aktivitäten der Software identifiziert, welche Kunden des Telefonanlagen-Herstellers 3CX direkt betreffen. Denn mittels infizierter Updates konnte die Malware auf die Desktop-Anwendung übertragen werden.
Sämtliche Funktionen des Desktop-Clients bleiben hierbei erhalten, wodurch dieser ohne Auffälligkeiten vom Kunden genutzt werden kann. Dies ist möglich, da das DLL-Sideloading-Szenario, auf welches der Cyberangriff beruht, zahlreiche beteiligte Komponenten hat. Bisher wurden folgende signifikante Elemente identifiziert:
- 3CXDesktopApp.exe (Clean-Loader)
- d3dcompiler_47.dll (DLL mit angehängter, verschlüsselter Nutzlast)
- ffmpeg.dll (trojanisierter Loader)